データ中心でランサムウェアに対処する「サイバーレジリエンス」とは何か？：ランサムウェアがまん延する時代の対処法【前編】

組織の事業継続性において重要になってきたのが、サイバーレジリエンスの向上です。ランサムウェア攻撃の実態を踏まえて、サイバーレジリエンスを高めるには何が重要になるのかを解説します。

[中島 シハブ・ドゥグラ，ネットアップ]

　近年、ランサムウェア（身代金要求型マルウェア）が悪名高い脅威となり、その被害は事業規模や業種を問わず、世界中の組織で発生しています。セキュリティベンダーExtraHop Networksが2022年1月に実施した調査によれば、過去5年間で少なくとも1度はランサムウェア攻撃を受けた経験のあるアジア太平洋地域の組織は、83％に上りました（注1）。

※注1：ExtraHop Networksからの委託でStollzNow Researchが調査し、ExtraHop Networksが調査レポート「ExtraHop 2022 Cyber Confidence Index: Asia Pacific」を2022年5月に公開。調査対象は日本、オーストラリア、シンガポールの組織におけるIT部門の意思決定者それぞれ100人（計300人）。

　2022年9月には、オーストラリアの通信事業者Singtel Optusがハッカーに狙われ、数百万人のユーザーの個人情報が流出した可能性があることが報じられました。国内の著名な組織がランサムウェアの被害に遭ったという報道も相次いでいます。

　ランサムウェアは、組織が直面する大きなリスクの一つになっており、組織は「サイバーレジリエンス」（サイバー攻撃を受けた際の回復力）を高める必要に迫られています。サイバーレジリエンスについて具体的に説明にする前に、まずはランサムウェアが組織にとっての大きなリスクである理由を見てみましょう。

なぜ「ランサムウェア」が組織にとって深刻なリスクなのか

併せて読みたいお薦め記事

データ保護の基礎をおさらい

• 「バックアップ」と「スナップショット」を混同しないための基礎知識
• RTOでもRPOでもない「WRT」とは何か？　復旧の順序は？
• 真っ先にやるべき「ランサムウェア対策」はこれだ

　ランサムウェアには、ビジネスを衰弱させるほどの影響を及ぼすリスクがあります。セキュリティベンダーSophosの調査レポート「The State of Ransomware 2023」（ランサムウェアの現状　2023年版、注2）によると、ランサムウェアの被害を受けた組織の84％が、「事業の損失や減収を招いた」と回答しました。復旧に要する時間は、回答者の29％が「最大1カ月」、39％が「最大1週間」と回答し、「1日以内」はわずか8％にとどまりました。

※注2：独立した調査会社が北米、南米、EMEA（欧州、中東、アフリカ）地域、アジア太平洋地域の14カ国の組織（従業員数100〜5000人）に所属する3000人のIT・サイバーセキュリティ部門のリーダーを対象に実施。調査期間は2023年1月〜3月で、過去1年間の経験に基づいて回答。

　身代金を支払っても必ずしもデータを回復できない可能性があることに加えて、復旧に掛かるコストも事業にマイナスの影響を及ぼす要因になります。Sophosの調査では、身代金の支払いを除く復旧コストの平均は182万ドルになりました。組織の規模が大きくなるほど、復旧コストが上昇する傾向が見られます。

　残念なことに、ランサムウェアが“最先端のサイバー犯罪”として台頭してきたことと、企業がさまざまなITを使ってデジタルトランスフォーメーション（DX）やイノベーションを推進していることは、無関係ではありません。オンプレミスのインフラや複数のクラウドサービスでさまざまなアプリケーションを実行する結果、企業のITシステムはますます複雑になっています。そうした中で、うっかり「ドア」や「窓」が開けたままになっていることが、攻撃者にとっての侵入口となり、ランサムウェアによる被害が広がる一因になっているのです。

　貴重な資産であるデータを守るために、組織には連携の取れた多層的な戦略が必要です。デジタル化の領域が広がる中でランサムウェアから自組織を守るためには、新しいアプローチが必要です。

データを保護し、安全な状態にする「サイバーレジリエンス」

　データ保護やその他のセキュリティ対策を組み合わせてサイバーレジリエンスを高めることで、組織はランサムウェアやその他のデータセキュリティの脅威から迅速かつ効果的に立ち直れるようになります。サイバーレジリエンスの目的は、侵入を防ぐことではなく、データを保護することによって、侵入による業務妨害を防ぐことにあります。

　サイバーレジリエンスは災害復旧（DR）と事業継続性に重点を置いており、データ保護の基盤（インフラ）を強固にすることから始まります。インフラに必要なのはコンポーネント（構成要素）の冗長化と、ミラーリング（データを複製して書き込むこと）されたデータセット（データの集合体）を備えた「高可用性アーキテクチャ」です。きめ細かなリストア（復旧）、効率的なバックアップ、長期的なアーカイブを備えたデータ復旧も、サイバーレジリエンスには欠かせません。

　データ保護ツールベンダー各社は、データのアクセスパターンや異常なユーザー行動など、組織全体を俯瞰（ふかん）して異常を検出する“インテリジェントな脅威検知機能”を強化しています。こうした機能は、組織が「機密データはどこにあり、誰がアクセスし、組織の境界を越えてどのように相互運用されているか」を把握できるようにします。これが必要なのは、一言でいえば「データ管理の健全性確認」という要件が重要になってきたからです。

　データに異常がないかどうかを継続的に監視する機能は、「ゼロトラストセキュリティ」のフレームワークにおける重要な要素です。ゼロトラストセキュリティは、「データへのアクセスを既定として拒否する」ことを基本とします。このアプローチでは、全てのアクセス要求を検証し、妥当性を確認することでサイバーレジリエンスを強化します。データを特性に応じてセグメント化し、「最小権限の原則」（必要な権限だけを付与する考え方）を適用してリスクを低減することで、さらなる保護層を提供することが可能になります。

　サイバーレジリエンスの最後の側面は、組織の復旧能力です。バックアップとDRに掛かるコストと時間が増加してしまう主な原因は、バックアップとDRの仕組みや考え方が複雑になりがちな点にあるため、何が重要なのかを押さえておく必要があります。防御の最前線を突破されてしまった場合、鍵になるのは最新の「ポイントインタイム」（特定時点）までの増分データを、詳細なレベルで復元する機能です。これによって脅威を迅速に修復し、中断を最小限に抑えてデータやアプリケーションを正常に戻すことが可能になります。

---

　後編は、サイバーレジリエンス戦略を策定するための5つのステップを具体的に解説します。

執筆者紹介

中島 シハブ・ドゥグラ　ネットアップ　代表執行役員社長

イラクのバグダッドに生まれ、ヨルダンやイギリスを経て来日。ITの設計、エンジニアリング、サービス、セールス、ビジネス開発などの分野で活躍。横河電機に入社後はオイル＆ガス、化学、電力などの分野の設計、エンジニアリング関連のプロジェクトをリードした経験を有する。シスコシステムズにおいて約19年間、グローバルアカウント、コーポレート事業、サービス事業における要職を歴任。2019年にネットアップに代表執行役員社長として入社。海外と日本のスタンダードを理解し、国内だけにとらわれない広い視点を有する。